IT审计【IT审计】IT审计就是信息系统审计,主要介绍审计的历史和发展,对象、範围和意义对象、範围和意义计画 。
基本介绍中文名:IT审计
性质:信息系统审计
主要介绍:审计的历史和发展
特点:独立于信息系统本身
简介IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师採用客观的标準对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估 。由上面的定义我们可以看出,IT审计涉及整个信息系统的生命周期,IT审计不是单纯强调对软硬体的审计 。它的审计对象涵盖整个信息系统所有活动和中间产物,并包括信息系统实施相关的外部环境 。IT审计按照信息系统的生命周期分为业务计画审计,业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计 。业务计画审计主要面向信息系统的企划,对信息系统的投资可行性,系统规划与公司战略的相关性,系统开发计画的可行性以及系统需求的完整性和正确性进行审核和验证 。业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核,确认这些活动、信息和中间产物的规範性、有效性和对于信息系统目标的针对性 。业务执行审计确认与信息系统运行相关的数据、软硬体、安装环境等是否符合信息系统的运营要求,同时对信息系统的功能、性能、易用度、可操作性等进行评估 。业务维护审计对信息系统的维护活动和维护结果实施审核和评价 。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题 。共通业务审计涉及文档管理、进度管理、人员管理、採购管理、风险管理等,检查这些过程的规範性和有效性,并提出改良建议 。IT审计的任务在于站在客观公正的角度上,收集审计信息,生成审计报告,通过审计报告促成信息系统生命周期活动和成果物的改善 。实施IT审计能够强化IT投资效果,提高信息系统的安全性,能够客观评价信息系统及信息系统开发,从社会经济和企业、国家信息化投资、安全等方面都具有极大的意义 。历史发展六十年代IT审计的出处源自60年代IBM出版的《Audit encounters Electronic Data Processing》等有关在EDI环境下进行审核和组织的论述 。不久后有关该方面的研究结果不断涌现,IT审计的雏形初步形成 。但是由于信息系统在社会上尚未得到较为广泛的套用,因此IT审计并未在社会上形成意识 。八十年代初由于计算机在已开发国家的企业初步普及,利用计算机犯罪和计算机系统失效的事件频频出现,使得IT审计日益得到社会重视,美国、日本先后成立了IT审计方面的协会组织 。从事对IT审计规则的制定和实施指导 。值得注意的是1985年日本政府出台了《IT审计标準》并根据美国劳工部的《Skill Start》和Northwest Center for Emerging Technologies(NCET)对IT信息人员的从业技能的要求制订了IT审计师(系统监查员)的技能标準并以之作为新的"IT审计师(系统监查员)"级考试的参考标準 。九十年代是IT审计的普及期,这主要归功于网际网路的普及 。网际网路的普及是利用计算机犯罪的人员温床,此外日益严重的软体项目失败问题引发了是否要对信息系统的投资和开发进行审计的深思 。IT审计得到了前所未有的重视 。审计制度一般来说,对企业实施IT审计的对象有:本企业内的IT审计师、外部IT审计事务所委託审计师和国家审计机构 。作为企业,建立一个完善的IT审计制度需要做到以下几点:(1)IT审计师是跨信息技术和审计技术的複合型人才,要实施企业的IT审计制度,必须重视和培养合格的IT审计师;(2)企业应该建立相应的IT审计部门或审计岗位,确定其部门和岗位职责,并将之置于企业经营者的直接管理之内;(3)企业应该制定相应的IT审计準则、实施报表、报告等进行IT审计所必须的凭据;值得一提的是,企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行 。企业的IT审计制度不是一成不变的,根据具体企业的营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删 。审计计画IT审计的实施需要制定相应的计画,明确IT审计的任务、採用的方法和预期应当达到的效果 。该计画在提交经营层确认后得以实施 。IT审计的审计计画分为两种类型:基本计画和详细计画(又称分期计画) 。基本计画是一个审计年度内相关IT审计活动的计画,确认年度内IT审计的各项任务及其大致时间安排 。基本计画需要提交经营层批准 。它是对整个IT审计年度的活动指引方针 。内容包括:审计对象、审计场所、审计原则、日程安排等 。详细计画(分期计画)针对具体项目(系统)或任务,得到IT审计部门领导的许可即可,详细计画需要告知被审计对象 。详细计画的内容包括:审计对象、目的、审计流程、审计要点、审计时间、相关人员、审计报告提交事项等内容 。审计流程审计计画计画阶段是整个审计过程的起点 。其主要工作包括:(1)了解被审系统基本情况了解被审系统基本情况是实施任何信息系统审计的必经程式,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等 。了解了基本情况,审计组织就可以大致判断系统的複杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计 。(2)初步评价被审单位系统的内部控制及外部控制传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度 。随着信息技术特别是以Internet为代表的网路技术的发展和套用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战 。加强内部控制制度是信息系统安全可靠运行的有力保证 。依据控制对象的範围和环境,信息系统内控制度的审计内容包括一般控制和套用控制两类 。一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、档案)的控制 。它已为应用程式的正常运行提供外围保障,影响到计算机套用的成败及套用控制的强弱 。主要包括:组织控制、操作控制、硬体及系统软体控制和系统安全控制 。套用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的套用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的套用控制主要体现在输入控制、处理控制和输出控制 。套用控制具有特殊性,不同的套用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制 。通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬体、软体资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过互动式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价 。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制 。(3)识别重要性为了有效实现审计目标,合理使用审计资源,在制定审计计画时,信息系统审计人员应对系统重要性进行适当评估 。对重要性的评估一般需要运用专业判断 。考虑重要性水平时要根据审计人员的职业判断或公用标準,系统的服务对象及业务性质,内控的初评结果 。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性 。重要性具有数量和质量两个方面的特徵 。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见 。(4)编制审计计画经过以上程式,为编制审计计画提供了良好準备,审计人员就可以据以编制总体及具体审计计画 。总体计画包括:被审单位基本情况;审计目的、审计範围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等 。具体计画包括:具体审计目标;审计程式;执行人员及时间限制等 。审计实施做好抗诉材料的充分的準备,便可进行审计实施,具体包括以下内容:(1)对信息系统计画开发阶段的审计对信息系统计画开发阶段的审计包括对计画的审计和对开发的审计,可以採用事中审计,也可以是事后审计 。比较而言事中审计更有意义,审计结果的得出利于故障、问题的及早发现,利于调整计画,利于开发顺序的改进 。信息系统计画阶段的关键控制点有:计画是否有明确的目的,计画中是否明确描述了系统的效果,是否明确了系统开发的组织,对整体计画进程是否正确预计,计画能否随经营环境改变而及时修正,计画是否制定有可行性报告,关于计画的过程和结果是否有文档记录等等 。系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分 。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、资料库设计、输入输出设计、处理流程及模组功能的设计 。编程时依据系统设计阶段的设计图及资料库结构和编码设计,用电脑程式语言来实现系统的过程 。测试包括动态测试和静态测试,是系统开发完毕,进入试运行之前的必经程式 。其关键控制点有:分析控制点:是否己细緻分析企业组织结构;是否确定用户功能和性能需求;是否确定用户的数据需求等 。设计控制点:设计界面是否方便用户使用;设计是否与业务内容相符;性能能否满足需要,是否考虑故障对策和安全保护等 。编程控制点:是否有程式说明书,并按照说明书进行编写;编程与设计是否相符,有无违背编程原则;程式作者是否进行自测;是否有程式作者之外的第三人进行测试;编程的书写、变数的命名等是否规範 。测试控制点:测试数据的选取是否按计画及需要进行,是否具有代表性;测试是否站在公正客观的立场进行,是否有用户参与测试;测试结果是否正确记录等 。(2)对信息系统运行维护阶段的审计对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计 。系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计 。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、资料库审计、系统输出审计和运行管理审计六大部分 。输入审计的关键控制点有:是否制定并遵守输入管理规则,是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等 。通信系统实施的是实际数据的传输,通信系统中,审计轨迹应记录输入的数据、传送的数据和工作的通信系统 。通信系统审计的关键控制点有:是否制定并遵守通信规则,对网路存取控制及监控是否有效等 。处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程,此时的审计主要针对数据输入系统后是否被正确处理 。关键控制点有:被处理的数据,数据处理器,数据处理时间,数据处理后的结果,数据处理实现的目的,系统处理的差错率,平均无故障时间,可恢复性和平均恢复时间等 。资料库审计是保障资料库正确行使了其职能,如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失,数据回滚以保证数据的一致性) 。其关键控制点有:对数据的存取控制及监视是否有效,是否记录数据利用状况,并定期分析,是否考虑数据的保护功能,是否有防错、保密功能,防错、保密功能是否有效等 。输出审计不同于测试阶段的输出审计,此时的输出是在实际数据的基础上进行的,对其进行审计可以对系统输出进行再控制,结合用户需求进行评价 。关键控制点有:输出信息的获取及处理时是否有防止不正当行为和机密保护措施,输出信息是否準确、及时,输出信息的形式是否被客户所接受,是否记录输出出错情况并定期分析等 。运行管理审计是对人机系统中人的行为的审计 。关键控制点有:操作顺序是否标準化,作业进度是否有优先权,操作是否按标準进行,人员交替是否规範,能否对预计于实际运行的差异进行分析,遇问题时能否相互沟通,是否有经常性培训与教育等 。维护过程的审计包括对维护计画、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计 。维护过程的关键控制点有:维护组织的规模是否适应需要,人员分工是否明确,是否有一套管理机制和协调机制,维护过程发现的可改进点,维护是否得到维护负责人同意,是否对发现问题作了修正,维护记录是否有文档记载,是否定期分析,旧系统的废除是否在授权下进行等 。审计完成完成阶段是实质性的整个信息系统审计工作的结束,主要工作有:整理、评价执行审计业务过程中收集到的证据 。在信息系统审计的现代化管理时期,收集到的数据己存储在管理系统中,审计人员只需对其进行分析和调用即可 。覆核审计底稿,完成二级覆核 。传统审计的三级覆核制度对信息系统审计同样适用,它是保证审计质量、降低审计风险的重要措施 。一级覆核是由信息系统审计项目组长在审计过程进行中对工作底稿的覆核,这层覆核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论;二级覆核是在外勤工作结束时,由审计部门领导对工作底稿进行的重点覆核 。在审计工作办公自动化的今天,二级覆核制度同样可以通过网上报送及调用得以实现 。评价审计结果,形成审计意见,完成三级覆核,编制审计报告 。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计準则 。信息系统审计人员需要对重要性和审计风险进行最终的评价 。这是审计人员决定发表何种类型审计意见的必要过程,所确定的可接受审计风险一定要有足够充分适当的审计证据支持 。签发审计报告之前,应当随工作底稿进行最终(三级)覆核,三级覆核由审计部门的主任进行,主要覆核所採用审计程式的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等 。三级覆核制度的坚持是控制审计风险的重要手段 。审计报告是审计工作的最终成果,审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见,同时提出改进建议 。